Удаленный доступ по Internet недорог. К сожалению, он не отличается защищенностью и надежностью. Но выход есть: вы можете решить вопросы защиты с помощью технологии виртуальных частных сетей (VPN), связывающих клиента и локальную сеть (клиент-ЛС).
Специалисты еженедельника Network World испытали пять VPN-систем: VTCP/ Secure компании Info Express, PowerVPN компании Axent Technologies, MobileVPN компании Aventail, IntraPort компании Compatible Systems и VSU-1010/VPNremote компании VPNet Technologies. Предпочтение было отдано системе VTCP/Secure благодаря простоте ее клиентского ПО и широким возможностям сервера.
Знакомясь с результатами испытаний, следует иметь в виду, что помимо рассмотренных продуктов существует и целый ряд других. Мы уже рассказывали о системах VPN (см.: Сети, # 2, с. 20-30; # 3, с. 106), многие из которых поддерживают соединение клиент-ЛС (например, продукты компаний Digital Equipment, Microsoft, RedGreek Communications и TimeStep).
Все продукты для VPN, ориентированные на соединение типа клиент-ЛС, состоят из двух компонентов: ПО, работающего на удаленном клиенте (например, ПК с Windows или Macintosh), и серверного ПО, размещаемого на центральном узле. Между клиентом и сервером формируется туннель, по которому передаются через Internet зашифрованные пакеты; тем самым обеспечивается защищенный доступ клиента к ресурсам корпоративной сети.
Основу VTCP/Secure компании InfoExpress, PowerVPN от Axent Technologies и MobileVPN от Aventail составляет специализированное ПО (каждую из этих систем мы тестировали на Windows NT Server). А компании Compatible Systems и VPNet предлагают выделенные аппаратные VPN-серверы. Архитектура клиентской части всех продуктов примерно одинакова, но серверные компоненты отличаются большим разнообразием - от модулей расширения для Windows NT до специального оборудования. К сожалению, эти продукты несовместимы друг с другом - каждый производитель придерживается собственного подхода к созданию VPN.
| Результаты испытаний продуктов для VPN | ||||||
| Критерий | Весовой коэфф., % | VTCP/фирмы Secure InfoExpress | PowerVPN фирмы Axent | MobileVPN фирмы Aventail | IntraPort фирмы Compatible Systems | VSU-1010/фирмы VPNremot VPNet |
| Установка клиента и управление | 45 | 8 | 7 | 6 | 7 | 6 |
| Возможности сервера и управление | 25 | 6 | 7 | 6 | 6 | 7 |
| Поддержка клиентских платформ | 15 | 8 | 8 | 8 | 5 | 5 |
| Фильтрация на сервере | 10 | 6 | 6 | 7 | 6 | 6 |
| Производительность | 5 | 6 | 6 | 5 | 5 | 7 |
| Итоговая оценка | 7,2 | 7,0 | 6,35 | 6,25 | 6,15 | |
| Примечания. Оценки по отдельным критериям выставлялись по 10-балльной шкале. Итоговая оценка вычислялась с учетом весовых коэффициентов (относительной значимости каждого критерия). | ||||||
Ключ находится у клиента
Удаленный доступ сотрудников к корпоративным системам нередко выливается в постоянную головную боль работников служб технической поддержки. Они никогда не знают, какое сочетание процессора, модема, операционной системы и конфигурации ПО им придется поддерживать. Добавление к данному списку ПО для VPN может только усугубить проблему. По этой причине мы решили уделить более пристальное внимание клиентской части VPN - тому, насколько просто ее устанавливать, конфигурировать и обслуживать.
Поддержка клиентских платформ варьируется от продукта к продукту. Ни одна из рассмотренных систем не поддерживает Mac и Unix, а некоторые работают лишь с Windows 95. Мы пришли к выводу, что самым удобным является клиентское ПО фирмы InfoExpress (применяемое также и в PowerVPN компании Axent) и IntraPort компании Compatible Systems - в первую очередь, благодаря хорошо продуманным процедурам установки. Мы смогли инсталлировать эти системы, ни разу не обратившись к службе технической поддержки компаний-производителей и лишь краем глаза заглянув в документацию. Можно считать, что Compatible Systems повезло, поскольку предлагаемая этой компанией документация содержит всего несколько страниц.
Что касается остальных систем, то устанавливать VPNet чуть труднее, а ПО компании Aventail - клиент SOCKS версии 5 - оказалось самым сложным. Поскольку общий клиент Aventail может быть использован с любым сервером SOCKS 5, некоторые сложности объясняются наличием избыточных возможностей (например, одновременной поддержки нескольких VPN), которые не нужны большей части пользователей VPN.
Однако во многих случаях легкость инсталляции имеет оборотную сторону: чем проще устанавливается клиент, тем менее он защищен. Дело в том, что клиент должен разделять с сервером определенную информацию. Без этого клиент не может быть уверен, что взаимодействует с нужным сервером, и наоборот.
Пароль - это разделяемая информация, которую легко ввести. Большинство из рассмотренных систем VPN разрешают доступ клиента только по паролю. Но в среде, где клиент подвержен реальной угрозе, пароли не дают надежной защиты.
| Продукты для VPN: достоинства и недостатки | |||||
| VTCP/Secure фирмы InfoExpress, www.infoexpress.com | PowerVPN фирмы Axent Technologies, www.axent.com | MobileVPN фирмы Aventail, www.aventail.com | IntraPort фирмы Compatible Systems, www.compatible.com | VSU-1010/VPNremote фирмы VPNet Technologies, www.vpnet.com | |
| Достоинства | Простота установки и использования клиента, невысокая цена, широкий круг платформ, сжатие | Аутентификация с высоким уровнем защиты, простота установки, широкий выбор платформ, сжатие | Широкий выбор платформ, соединения ЛС-ЛС и клиент-ЛС | Невысокая цена, простота установки, IP- и IPX-туннелирование | Интеграция соединений ЛС-ЛС и клиент-ЛС, высокая производительность, сжатие |
| Недостатки | Требуется сервер Windows NT или Unix | Сложная комбинация серверов двух разных производителей | Высокая стоимость, для генерации ключей необходим отдельный центр выдачи сертификатов | Трудно вносить изменения на сервере, не пригоден для большого числа клиентов | Высокая стоимость, требуется VPN типа ЛС-ЛС |
| Цена | Клиент - 89 дол., сервер - 1495 дол. | Клиент - 94 дол., сервер - 2995 дол. | Клиент - 49 дол., сервер - от 4995 дол. | Сервер - 2995 дол. (на восемь клиентских сеансов) | Клиент - 99 дол.; оборудование сервера - от 4995 дол.; управляющее ПО - от 3995 дол. |
Модель, обеспечивающая большую безопасность, предусматривает использование открытых ключей и сертификатов, которые позволяют гарантировать подлинность на обоих концах соединения. К сожалению, при этом требуется вручную вводить большой объем информации, в силу чего администратору сети, возможно, придется распространять среди всех пользователей VPN специальную дискету.
Защита с помощью аппаратного ключа
Компания Axent в своей системе PowerVPN предлагает иную тактику. Она сочетает в себе систему аппаратных ключей (или "жетонов" - tokens), предусматривающую использование проверенного метода обмена сообщениями типа запрос-ответ с клиентом и сервером, предлагаемыми InfoExpress. Для создания туннеля пользователю необходимы пароль и аппаратный ключ, что гарантирует серверу его взаимодействие с "настоящим" клиентом.
Виртуальная частная сеть, создаваемая VPNet, также поддерживает жетоны; это позволяет администратору сети в качестве системы аутентификации применять жетоны SecurID компании Security Dynamics Technology. Axent предлагает и программную версию жетонов. Такой вариант обеспечивает меньший уровень защиты, чем аппаратные ключи, но он проще для работы удаленных пользователей, которым в противном случае приходится каждый раз при входе предъявлять свои аппаратные жетоны.
Нас приятно удивило, насколько просто создавать VPN с помощью этих продуктов. Мы ожидали больших сложностей, поскольку VPN затрагивает самую основу клиентской системы, но столкнулись лишь с некоторыми трудностями, которые были легко устранены. Надо, однако, заметить, что использовались только стандартные стеки TCP/IP компании Microsoft. Если вы намерены работать с Windows 3.1 или Windows for Workgroups, следует предварительно убедиться в их совместимости с вашими стеками TCP/IP.
| Поддержка клиентских платформ продуктами для VPN | |||||
| Платформа | VTCP/Secure (InfoExpress) | PowerVPN (Axent) | MobileVPN (Aventail) | IntraPort (Compatible Systems) | VSU-1010/VPNremote (VPNet) |
| Windows 95 | l | l | l | l | l |
| Windows 3.1 | l | l | l | ||
| Windows for Workgroups | l | l | l | ||
| Windows NT | l | l | l | ||
Управление беспорядком
В состав продуктов для VPN, которые мы тестировали, входит управляющее ПО для клиентов и серверов, имеющее графический пользовательский интерфейс. Серверное управляющее ПО - довольно простое в применении и практически одинаковое для всех VPN-продуктов. Самым существенным различием является способ обработки информации, необходимой для подтверждения подлинности пользователя.
InfoExpress, Avential и VPNet позволяют администратору сети использовать стандартную базу данных для удаленной аутентификации, такую как Remote Authentication Dial-In User Service (RADIUS) или Terminal Access Controller Access Control System. В продуктах InfoExpress, Avential, Compatible Systems и VPNet может также выполняться локальная аутентификация с помощью простого файла, определяющего соответствия пользователь-пароль. Кроме того, продукт Avential работает с системой аутентификации, имеющейся в Windows NT.
Маршрутизатор VPN компании Compatible Systems предлагает самое простое управление клиентом среди рассматриваемых систем. Сервер IntraPort хранит клиентскую информацию во флэш-памяти; чтобы изменить пользовательскую информацию, необходимо перезагрузить сервер. Хотя аппаратный подход, безусловно, обеспечивает более высокую производительность, он явно не предназначен для работы с большим числом конечных пользователей. IntraPort не рассчитан на использование в компаниях, где часто вносятся изменения и подключается много пользователей.
Такие протоколы, как RADIUS, призваны решить эти вопросы, но на самом деле проблема намного серьезнее. Информация о клиенте VPN включает в себя данные о правах доступа, определяющие, какие службы разрешены для конкретного пользователя. Все VPN поддерживают контроль доступа на уровне каждого отдельного клиента, но объединение и поддержка контроля при использовании сервера RADIUS сторонней компании - задача не из легких.
VPNet и Aventail обеспечивают не вполне оптимальную конфигурацию RADIUS. Они требуют значительной координации между локальной базой данных и RADIUS. Серверы InfoExpress и Axent обеспечивают самые "гладкие" соединения и позволяют размещать в базах данных RADIUS всю клиентскую информацию.
Другие возможности управления, такие как регистрация действий и генерация отчетов, в каждом продукте имеют свои особенности, однако ни одна из их реализаций не выделяется ни особыми достоинствам, ни серьезными недостатками. Серверы VPN, функционирующие на базе существующих ОС, обладают преимуществами, присущими соответствующим файловым системам. Однако и серверы, работающие на выделенных аппаратных средствах, позволяют использовать консоль управления для получения аудиторской и регистрационной информации.
Выбор стиля
Несмотря на исключительную важность для успешной реализации проекта процедур установки и управления, каждая конкретная среда требует определенной архитектуры VPN.
InfoExpress и Axent предлагают программные решения, которые для поддержки серверного компонента VPN используют серверы Unix и NT. Компания Avential реализовала ту же стратегию, но обеспечила в своем ПО поддержку VPN, работающих по принципу ЛС-ЛС.
Оборудование VPNet также поддерживает VPN, ориентированные на соединения клиент-ЛС и ЛС-ЛС. За счет централизации управления всеми видами VPN можно упростить и централизовать другие функции управления защитой, например обеспечить контроль за нарушением целостности корпоративного брандмауэра. Однако система VPNet может создать "узкое место" с точки зрения производительности, поскольку располагается между защищенной сетью и остальным миром.
Компания Compatible Systems предлагает другой, более простой, подход. Невысокая цена и относительная простота ее сервера IntraPort делают его особо привлекательным для тех организаций, в которых удаленный доступ используется для небольшого количества пользователей и потребности в нем редко меняются.
Поскольку возможности большинства VPN, применяемых для удаленного доступа, ограничиваются низкой скоростью модемных каналов, производительность систем типа клиент-ЛС не является самым важным показателем. Тем не менее более высокую скорость обычно обеспечивают аппаратные VPN-серверы, которые, кроме того, еще и надежнее, поскольку работают в выделенном режиме. Затраты же на аппаратные решения оказываются меньшими, чем на программные серверы.
| Продукты для VPN: технологии шифрования и обмена ключами | |||||
| Показатель | VTCP/Secure (InfoExpress) | PowerVPN (Axent) | MobileVPN (Aventail) | IntraPort (Compatible Systems) | VSU-1010/VPNremote (VPNet) |
| Шифрование | Собственная технология туннелирования с использованием шифрования DES40/DES/3DES | Собственная технология туннелирования с использованием шифрования DES40/DES/3DES | Туннель SOCKS 5 через SSL с использованием RC4/DES | Туннель Generic Routing Encapsulation с использованием DES | Собственная технология туннелирования с использованием DES/3DES |
| Обмен ключами | Diffie-Hellman | Diffie-Hellman | Собственная технология | Secure Tunnel Establishment Protocol | Simple Key Management for IP |
Что под чертой?
Средства VPN, по крайней мере в ближайшее время, стоит приобретать у одного производителя.
Хотя VPN, обеспечивающие связь между ЛС, устойчиво движутся к стандартизации протоколов для шифрования и управления ключами, производителям систем, поддерживающих соединения типа клиент-ЛС, еще только предстоит договориться об использовании единой технологии. К примеру, хотя Aventail применяет довольно зрелые протоколы Secure Sockets Layer и SOCKS, она не поддерживает в достаточной степени приложения на базе UDP (User Datagram Protocol), не говоря уж о IPX-приложениях.
По мере того как будет определяться набор возможностей и функций, требуемых в VPN типа клиент-ЛС, продукты станут поддерживать единый спектр совместимых протоколов. Сейчас отсутствие такой совместимости сильно усложняет выбор продуктов. Прежде чем решиться на масштабное развертывание VPN, попробуйте реализовать пилотный проект на базе продуктов выбранного производителя.
Нужно заметить, что при оценке продуктов для VPN особое внимание следует уделить вопросу адресации. Будет ли клиент получать доступ к услугам VPN только в корпоративной ЛС? Или ему также будет позволено взаимодействовать с незащищенной сетью - напрямую или через защищенную сеть? Какой адрес будет иметь клиент и будет ли он совместим с имеющимися приложениями и протоколами? Для ответа на эти вопросы и правильного выбора продукта вы должны сначала четко определить набор используемых протоколов и приложений.
Итак, чтобы выбрать наилучшую систему VPN для удаленного доступа, надо принять во внимание такие критерии, как простота установки ПО для конечного пользователя, совместимость, управляемость, модель защиты, и, конечно, оценить свои финансовые возможности.
Джоэл Снайдер (Joel Snyder) - консультант компании Opus One. С ним можно связаться по адресу jms@opus1.com.